Una campagna attiva sta compromettendo server con ComfyUI esposti su internet. L'obiettivo è integrare queste macchine in una botnet dedicata al mining di criptovalute e a fungere da proxy. Gli aggressori sono riusciti a infiltrarsi in oltre mille istanze, sfruttando la mancanza di misure di sicurezza di base. Questo incidente sottolinea i rischi di distribuire strumenti di IA senza la dovuta configurazione e protezione di rete.
Meccanismo di infezione tramite ComfyUI-Manager 🔍
L'attacco utilizza uno scanner Python personalizzato che esegue la scansione di range di IP di grandi provider cloud. Quando individua un'istanza di ComfyUI accessibile, il malware viene distribuito automaticamente sfruttando la funzionalità dell'estensione ComfyUI-Manager. Lo script verifica che non esista già un nodo malevolo in esecuzione prima di procedere. Una volta installato, dirotta le risorse del sistema per la botnet, deviando la sua capacità di elaborazione verso attività illecite a insaputa del proprietario.
La tua GPU lavora straordinari per un capo sconosciuto 😰
È il sogno di qualsiasi risorsa inattiva: essere produttiva 24 ore al giorno. Mentre tu dormi, la tua scheda grafica si sforza di risolvere complessi problemi matematici, generando calore e bollette della luce per arricchire un anonimo entusiasta della blockchain. Tutto grazie a un gestore di estensioni troppo servizievole. Forse è il momento di verificare se il tuo ComfyUI sta ricevendo visite inaspettate, prima che il tuo hardware decida di chiedere un aumento di stipendio in cripto.